云聚 AI Token Plan 满 199 减 35 元
port:80 AI Junkie
AI 重度玩家的工程笔记本
DigitalOcean 开发者云

AI智能体实战:zkao在Cloudflare加密库中挖掘出7个深层漏洞

云聚 AI Token Plan 满 199 减 35 元

zkSecurity团队近日公布了其AI审计智能体“zkao”的首个实战成果。该智能体对Cloudflare的开源密码学库CIRCL进行了全面扫描,成功发现并确认了7个安全漏洞,涉及阈值RSA签名、DLEQ证明、BLS聚合签名及CP-ABE访问控制等关键模块。此次审计采用了“LLM+专家技能”的架构,测试了Claude Opus与GPT等模型在识别代码逻辑缺陷方面的能力。其中,最严重的漏洞包括CP-ABE方案中因单行代码错误导致的访问控制完全失效,以及BLS聚合签名中缺少消息唯一性检查所引发的公钥攻击。尽管AI在漏洞严重程度的评估上仍存在偏差,但其在发现隐蔽性极强的逻辑缺陷(如符号碰撞导致的伪造攻击)方面展现出超越传统静态分析的潜力。目前所有漏洞已由Cloudflare修复并确认,证明了AI智能体在代码安全审计中作为辅助工具的巨大价值。

事件分析

此次事件标志着AI安全审计正从简单的语法检查向复杂的逻辑漏洞挖掘迈进。zkao采用的“模型+技能”架构,通过将专家知识编码为AI可调用的技能包,有效提升了LLM在密码学这一垂直领域的推理深度。虽然AI在严重程度评级上仍显不稳定,但在发现诸如整数溢出、代数恒等式利用等深层逻辑错误时,AI表现出了优于人类审计的一致性和广度。产业层面,这预示着开源项目的安全维护将引入“AI持续审计”的新范式,开发者可能需要习惯于与AI智能体进行高频的人机协同,以应对日益复杂的代码安全挑战。

💡 核心观点:AI智能体已具备挖掘复杂逻辑漏洞的能力,软件安全审计正加速从“人工主导”向“人机协同”范式演进。

阿里云 OPC 一人公司创业装备库

原文链接:Hacker News

阿里云函数计算 一键部署 AI 大模型
赞(0)
未经允许不得转载:80aj » AI智能体实战:zkao在Cloudflare加密库中挖掘出7个深层漏洞
赞助推荐 FoxCode Claude Code 稳定中转
阿里云函数计算 一键部署 AI 大模型

GLM Claude Code · 国产平替不封号

官方 Claude Code 又涨价又要 KYC,封号还得重配环境?智谱 GLM 兼容 Claude Code,稳定不封号、价格友好,注册后把现有 Claude Code 工作流直接切过来继续用。

立即体验 GLM查看套餐价格